Microsoft advierte que los resultados del chatbot de IA se están utilizando en campañas de criptominería ilegal

• Anuncio -

• Microsoft dice que los atacantes están utilizando resultados de búsqueda envenenados e interacciones con chatbots de IA para mostrar sitios de descarga maliciosos.

• La campaña se dirige a usuarios con GPU potentes, lo que la hace especialmente relevante para malware de criptominería y seguridad de billeteras.

Microsoft ha advertido que los atacantes están utilizando tanto el envenenamiento tradicional de motores de búsqueda como las interacciones con chatbots de IA para impulsar descargas de software malicioso vinculadas a una campaña de criptojacking.

Según los investigadores de Microsoft Defender, la campaña se hace pasar por utilidades de PC de confianza como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear. Los usuarios que buscan estas herramientas pueden ser dirigidos a páginas de descarga falsas controladas por los atacantes.

El ángulo cripto es importante. Microsoft dijo que la campaña parece dirigirse a usuarios que probablemente posean GPU de alto rendimiento. Esas máquinas son más valiosas para los atacantes porque las tarjetas gráficas potentes pueden generar más producción para la minería de criptomonedas no autorizada.

La búsqueda por IA se convierte en parte de la ruta de ataque

El envenenamiento SEO ha sido una táctica de malware conocida durante años. Los atacantes crean o manipulan sitios web para que aparezcan en los resultados de búsqueda de descargas populares, herramientas de software o consultas de solución de problemas.

Lo que hace que este caso sea más notable es el papel de los sistemas de IA.

Microsoft dijo que observó informes que indican que algunos usuarios pueden haber sido dirigidos a dominios maliciosos a través de interacciones con herramientas basadas en modelos de lenguaje de gran tamaño. En esos casos, los usuarios que preguntaban a los chatbots de IA por recomendaciones de descarga de software recibían enlaces a dominios controlados por atacantes.

Como informó The Query Post, la campaña muestra cómo el envenenamiento SEO clásico puede estar trasladándose a la búsqueda por IA, donde los usuarios a menudo tratan las recomendaciones generadas como más seleccionadas y confiables que los resultados de búsqueda ordinarios.

Por qué esto es importante para los usuarios de cripto

Los usuarios de cripto ya son objetivos frecuentes de phishing, aplicaciones de billetera falsas, extensiones de navegador maliciosas y herramientas de trading falsas. La búsqueda por IA añade otro posible canal de descubrimiento para los atacantes.

Si un usuario le pregunta a un asistente de IA qué billetera descargar, qué herramienta de impuestos cripto usar o dónde encontrar software de monitoreo de GPU, una recomendación maliciosa podría llevar a un dominio falso que parece legítimo.

Ese riesgo se vuelve más grave cuando el software solicita permisos del sistema o cuando el dispositivo objetivo contiene archivos de billetera, sesiones de exchange, notas de frases semilla o extensiones cripto basadas en navegador.

Microsoft dijo que el malware se puede cargar mediante DLL sideloading y que la campaña también abusa de ScreenConnect para establecer acceso remoto persistente. Ese acceso podría permitir a los atacantes perfilar el dispositivo, escanear la red e implementar malware de minería de criptomonedas.

El criptojacking no es el único riesgo

La campaña inmediata descrita por Microsoft se centra en la minería de cripto no autorizada. Pero el acceso persistente a un dispositivo puede crear riesgos de seguridad más amplios.

Una vez que los atacantes tienen acceso remoto, pueden profundizar en el sistema, robar información o prepararse para ataques adicionales. Microsoft también advirtió que este tipo de acceso podría respaldar actividades posteriores como robo de datos, movimiento lateral o ransomware.

Para los usuarios de cripto, eso hace que el problema sea más grave que un dispositivo que funciona lentamente debido a un software de minería oculto. Una máquina comprometida también puede exponer billeteras, archivos privados y cuentas conectadas a actividades de trading o DeFi.

Los enlaces generados por IA no deben tratarse como enlaces verificados

La lección práctica es simple: las recomendaciones de software generadas por IA deben verificarse de la misma manera que los usuarios verificarían los resultados de búsqueda.

Los usuarios de cripto deben descargar billeteras, herramientas de trading, utilidades de minería y software de monitoreo de hardware solo desde sitios web oficiales. También deben revisar cuidadosamente los dominios, evitar páginas similares y tener especial cuidado con las herramientas que solicitan permisos elevados.

Las herramientas de IA pueden ayudar a los usuarios a descubrir información más rápido. Pero cuando se trata de software cripto, herramientas de billetera o cualquier cosa que toque el acceso al sistema, una recomendación de un chatbot no debe tratarse como una prueba de que un enlace es seguro.

A medida que la búsqueda por IA se convierte en una parte más importante de cómo los usuarios encuentran software y herramientas financieras, los atacantes tendrán más incentivos para influir en esas respuestas. Para la industria cripto, eso hace que el envenenamiento de la búsqueda por IA sea un problema de seguridad, no solo un problema de marketing en buscadores.